LDAP proxy'si ile Active Directory Kimlik Doğrulaması

Yalıtılmış bir ağda hizmetlerimiz var. Bu hizmetlerin, kullanıcıların Active Directory sunucusuna karşı kimlik doğrulaması yapmaları gerekir.

Ancak Active Directory sunucusu doğrudan kullanılamıyor, bu nedenle yalıtılmış ağda bir LDAP proxy'si kurmam gerekiyor. Bu durumda LDAP proxy'si AD'ye erişebilir. Erişim geldiğini hatırlatırız gerekir sadece okunabilir ve bu vekil sadece erişimi olacak bir AD sunucusundan.

• Bu mümkün / uygulanabilir mi?
• "Proxy" terimi iyi terim mi?
• Bir Microsoft AD sunucusu zorunlu mu yoksa OpenLDAP işi iyi yapar mı?
• AD / LDAP hakkında çok az bilgim var, öğrenme eğrisi nasıl?
• Birkaç ipucu nereden başlamalı?

Teşekkürler.

Bu mümkün / uygulanabilir mi?

Bu hem uygulanabilir hem de yaygındır. Openldap proxy active directory gibi bir şey ararsanız, bir dizi yararlı sonuç bulacaksınız.

"Proxy" terimi iyi terim mi?

Bu kesinlikle kullanılacak doğru terimdir.

Bir Microsoft AD sunucusu zorunlu mu yoksa OpenLDAP işi iyi yapar mı?

İstemcileriniz yalnızca bir LDAP sunucusu bekliyorsa, özellikle salt okunur erişime ihtiyacınız varsa OpenLDAP iyi olacaktır.

AD / LDAP hakkında çok az bilgim var, öğrenme eğrisi nasıl?

Arka planınızı bilmeden cevaplanması zor bir soru. LDAP'nin temel olarak basit olduğunu düşünüyorum, ancak başınızı OpenLDAP'de erişim kontrolü etrafına sarmak biraz iş gerektirebilir.

Birkaç ipucu nereden başlamalı?

Tek yapmanız gereken AD sunucusunu yerel ağınızda kullanılabilir hale getirmekse, basit bir TCP proxy veya uygun iptables kuralları tam gelişmiş bir LDAP proxy'sinden çok daha basit olacaktır. Bunun dezavantajı, şeylerin Active Directory tarafında herhangi bir erişim kontrolü yapmanız gerekmesidir.

Proxy olarak OpenLDAP ile gitmeye karar verirseniz:

• Adım Adım OpenLDAP'nin Active Directory'ye Proxy olarak yüklenmesi ve yapılandırılması , faturayı başlıktan sığacak gibi görünüyor, ancak bir rehber olarak çok iyi değil.

• Samba belgeleri bu doğrultuda bazı notlar var.

• Birkaç yıl önce yazdığım bu makale istediğinizden daha fazla, ancak bazı yapılandırma örnekleri var.

Active Directory Basit Dizin Hizmetleri tam olarak ihtiyacınız olan gibi görünür - ancak doğrudan AD'ye karşı kimlik doğrulaması yapmak istiyorsanız, bunun yerine AD sunucularınıza bir TCP proxy yapabilirsiniz; HAProxy iyi bir seçim olacaktır.